Mise à jour le 15 avril 2026
Dans le sillage de la publication de notre article, Charles Guillemet, responsable de la sécurité de Ledger, rappelle que « Ledger ne vous demandera jamais vos 24 mots » et que « si une personne ou une application vous les réclame, partez du principe qu’il y a un problème ».
« Vous ne pouvez pas faire confiance à l’environnement software qui vous entoure, ni à votre navigateur, ni à votre app store, ni même à votre ordinateur. Les attaquants exploitent toutes les opportunités, y compris via des plateformes de distribution officielles. La seule protection réellement efficace consiste à conserver ses clés privées sur un hardware dédié, doté d’un écran sécurisé, comme un appareil Ledger, et à ne jamais saisir sa phrase de récupération dans une application ou sur un site web. Vos 24 mots, c’est votre portefeuille », déclare Charles Guillemet à 01net.
Une fausse application Ledger est parvenue à échapper à la vigilance d’Apple. L’application, qui se fait passer pour l’app Ledger Live qui permet de se connecter aux portefeuilles physiques de la marque française, a ainsi réussi à se glisser sur l’App Store. C’est ce qu’a découvert l’enquêteur ZachXBT, spécialisé dans les questions de sécurité relatives aux cryptomonnaies.
À lire aussi : Crypto et fuite de données – une arnaque redoutable vise les utilisateurs Ledger en France
50 victimes et 9,5 millions de dollars envolés
L’expert a constaté que l’application a fait au moins 50 victimes avant qu’Apple ne l’éjecte de l’App Store. Ces investisseurs étaient persuadés qu’ils étaient en train de configurer leur nouveau wallet Ledger avec l’application officielle. Au lieu de ça, ils ont communiqué des données sensibles à des cybercriminels. Les investisseurs ont ainsi perdu environ 9,5 millions de dollars en cryptomonnaies entre le 7 et le 13 avril 2026. Les pertes concernent à la fois du Bitcoin, des tokens déployés sur la blockchain Ethereum, du Tron, du Solana et du XRP. Parmi les victimes, on trouve l’artiste américain Garrett Dutton, qui explique avoir perdu 5,92 bitcoins, soit environ 420 000 dollars, à cause de cette fausse application. Apparemment, la campagne a touché à la fois des gros détenteurs et des plus petits portefeuilles.
I had a really tough day today I lost my retirement fund in a hack/Scam when I switched my @Ledger over to my new computer and by accident downloaded a malicious ledger app from the @Apple store. All my BTC gone in an instant.
— G. Love (@glove) April 11, 2026
Les victimes ne se sont pas doutées une seule seconde de la supercherie. Ceux-ci faisaient en effet aveuglément confiance à l’App Store d’Apple, un magasin d’applications réputé pour sa fiabilité et sa sécurité. Les victimes ont forcément recherché « Ledger Live » sur l’App Store, puis téléchargé une appli qui ressemblait trait pour trait à la vraie, avec une interface et une icône proches de l’original.
La phrase de récupération à l’origine du hack
Le piège s’est déclenché lors de la première ouverture de l’application. Celle-ci a en effet réclamé la phrase de récupération de 24 mots. Notez que Ledger précise que cette phrase ne doit jamais être saisie sur un ordinateur ou une application. En effet, la phrase est générée sur le portefeuille physique, et l’utilisateur est invité à la sauvegarder sur le support de son choix. On recommande toujours d’opter pour un support physique hors ligne, comme une simple feuille de papier.
Dès que l’utilisateur tape sa phrase de récupération complète, les attaquants prennent le contrôle du wallet et peuvent transférer les cryptos sur des adresses blockchain en leur possession. Une fois les fonds déplacés, les attaquants ont rapidement dispersé les actifs par le biais de plusieurs transactions, afin de brouiller les pistes. Apple a supprimé l’application de sa boutique, mais n’a pas précisé comment celle-ci est parvenue à contourner ses mécanismes de sécurité.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
